Hôpitaux sous tension, entreprises désorganisées par la mise en place en urgence du télétravail… Les pirates informatiques ont profité de la crise sanitaire pour multiplier les attaques. Face au cybercrime, deux réactions sont possibles : faire l’autruche ou prendre le taureau par les cornes.
En début d’année, Guillaume Poupard, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a déclaré sur BFM Business que ses équipes ont réalisé quatre fois plus d’interventions en 2020 qu’en 2019 (200 opérations l’an dernier contre 50 en 2019) pour protéger les opérateurs d’importance vitale (OIV), ces structures publiques ou privées dont les activités sont indispensables au bon fonctionnement et à la survie de la Nation.
De son côté, Proofpoint, spécialiste de la cybersécurité et de la conformité, a publié en décembre dernier une étude montrant que 91% des organisations françaises ont subi au moins une cyberattaque majeure en 2020, 65% des répondants ayant par ailleurs signalé avoir été victimes d’incidents multiples.
Certaines de ces attaques ont touché de grands groupes comme Bouygues Construction, Sopra Steria, Estée Lauder et CMA CGM. Des collectivités locales comme la Région Grand-Est, la Métropole Aix-Marseille Provence et des municipalités comme Vincennes, Alfortville et Bondy ont également été concernées. Le secteur médical n’a pas été épargné non plus : de nombreux centres hospitaliers, organismes de santé et laboratoires de recherche ont été victimes de ransomwares.
Les pirates ont profité de la désorganisation provoquée par la crise sanitaire
Dans l’urgence de la crise sanitaire, les DSI ont dû fournir des ordinateurs portables aux salariés qui n’en disposaient pas encore et mettre en place des moyens permettant aux collaborateurs de travailler à distance. Dans la hâte générale, les analyses de risque et les processus liés à la sécurité ont été négligés.
Les pirates informatiques ont bien évidemment tiré profit de la désorganisation générale. Ils en ont profité pour cibler les outils collaboratifs les plus répandus, comme la plateforme de visioconférence Zoom. Et les campagnes de phishing se sont multipliées, utilisant notamment les thèmes de l’Éducation Nationale et de la Sécurité Sociale pour tromper leurs victimes.
Face à cette situation inédite, que nous continuons de vivre, on peut classer les entreprises et organisations en deux grandes catégories. Celles qui ne font que réagir à leur environnement (profil réactif) et celles qui anticipent les évolutions à venir (profil proactif).
Les organisations au profil réactif : attentisme, méconnaissance et scepticisme
Dans cette première catégorie, nous avons affaire à des entreprises ou structures publiques qui préfèrent subir les conséquences d’une cyberattaque que d’investir dans des solutions de sécurité à mène de les protéger. L’écart entre les risques réels et ce que ces structures connaissent de ces risques est très important.
Plus globalement, ces organisations sont en retard dans leur transformation digitale. Elles n’ont pas pris la mesure des enjeux numériques liés à leur secteur. Leur maturité IT est faible. À titre d’illustration, elles sont la plupart du temps réticentes à basculer leurs applications vers le cloud « pour des raisons de sécurité ». Cette réticence repose le plus souvent sur les convictions personnelles de certains de leurs décisionnaires informatiques ou même de leurs dirigeants et sur une absence totale de réflexion sous-jacente.
Le télétravail est parfois accusé d’être à l’origine de la multiplication des attaques informatiques. C’est faux. Le télétravail n’est risqué que pour les entreprises n’ayant jamais investi dans ce mode d’accès aux applications métiers et a sa sécurisation. La cloudification de leurs outils métiers, par exemple, permet d’avoir accès aux outils métiers en toute sécurité. En mode client / serveur, si vous infectez le client, vous pouvez plus facilement propager l’infection au serveur métier. En revanche, en mode cloud, le PC d’un salarié n’est qu’un terminal isolé ne présentant aucun risque pour le reste du réseau et limite l’accès du poste à la seule donnée de l’application et non au serveur.
Le télétravail ne présente des risques que pour les entreprises n’ayant jamais investi sur ce mode de travail. Cela montre un manque de connaissance et de maitrise de l’évolution de la sécurité et des outils informatiques. Connaitre les failles actuelles et s’informer des risques en cours est aussi important que de former les collaborateurs au phishing et à la manière de gérer ses mots de passe (nous y reviendrons).
Le profil proactif : anticipation, veille et agilité
Ce sont les « bons élèves », ceux qui ont compris que la sécurité n’est pas qu’un centre de coûts, mais un investissement productif, source d’efficience opérationnelle et de rentabilité. Ces structures s’équipent de nouvelles solutions de sécurité quand le besoin s’en fait sentir, mettent à jour leurs logiciels et suivent l’état de l’art de la cybersécurité.
Au même titre que de mettre à jour les machines, les employés eux-mêmes sont « updaté » sur les risques via des campagnes de sensibilisation à la sécurité.
En cas d’urgence (une faille détectée, une attaque…), ces entreprises sont en mesure de débloquer des budgets rapidement afin de se protéger ou de parer à toute éventualité. Quand une entreprise n’est pas suffisamment équipée en firewall ou en antivirus, quand sa messagerie n’est pas assez sécurisée, il n’est pas envisageable d’attendre plus de 12 mois pour que les budgets soient débloqués. C’est malheureusement trop souvent le cas, surtout dans les structures qui dépendent exclusivement des budgets « votés » pour pouvoir fonctionner.
Le paradoxe des budgets annuels, votés en fin d’année pour l’année suivante, est qu’ils correspondent à des besoins futurs dont les organisations ont connaissance. Mais en ce qui concerne la sécurité, les évolutions techniques vont plus vite que ces votes de budget. Ainsi, quand des besoins en outils de sécurité surviennent, elles n’ont pas l’agilité pour réagir financièrement. Or, les attaques informatiques sont par définition imprévisibles et à effet immédiat.
Comment passer du profil réactif au profil proactif ?
Les risques évoluent en permanence, les méthodes d’attaque pratiquées par les pirates informatiques aussi. Cela nécessite un suivi des risques au jour le jour et un apprentissage continue. On ne le répétera jamais assez : la formation est un facteur déterminant dans la protection des organisations.
Avant des investissements dans des infras cloudisé et dans tel ou tel outil de sécurité, avoir un plan de sensibilisation au risque et des formations sur l’outil informatique est très important. Ces formations concernent tous les niveaux de décision de l’entreprise, depuis ses dirigeants jusqu’aux collaborateurs. Les dirigeants doivent prendre conscience des risques encourus et de leurs coûts potentiels. Dans son neuvième baromètre des risques, publié l’an dernier, Allianz indique que, pour la première fois depuis la création de ce baromètre, les incidents cyber (39% des réponses) figurent en tête des risques d’entreprises dans le monde, reléguant en deuxième et troisième position les interruptions d’activité (37% des réponses) et les évolutions législatives et réglementaires (27% des répondants).
Combien a coûté l’arrêt des sites de production de Renault, suite à la cyberattaque mondiale dont le groupe automobile a été victime en 2017 ? Quels ont été les dégâts subis par la Deutsch Bahn, la Banque centrale russe et Fedex, également touchés ? On pourrait poser cette question à chaque fois que des PME ou des grands groupes sont la cible d’attaques informatiques.
Dans de nombreux rendez-vous que j’ai eus avec des clients, je suis souvent confronté à des décisionnaires désinformés sur les risques actuels et sur les conséquences de la « non-protection » de leurs outils métiers.
Bien évidemment, la formation à la sécurité concerne également les collaborateurs. Il est crucial de les sensibiliser aux risques liés aux mails frauduleux (phishing), à la qualité des sites web qu’ils visitent, à la gestion de leurs mots de passe, à la fuite de données, volontaire ou involontaire… Mais toute action de formation nécessite des budgets… On en revient à la volonté (ou pas) des dirigeants de prendre les mesures adéquates dans ce domaine.
Comment des gens non formés et non à jours sur les risques peuvent juger de l’intérêt d’outils de sécurités et juger d’évolutions de leurs infrastructures sans prendre de risque ? Les investissements dans l’outil informatique ne doivent pas être que techniques.
Intégrer la gestion des risques dans les choix d’investissement
Idéalement, les budgets liés à la sécurité devraient être déterminés suite à des études de risque sérieuses, menées en interne ou par des experts externes. La validation finale devrait revenir à ceux qui travaillent sur le terrain et non pas à ceux dont les critères de décision sont exclusivement financiers.
La cybersécurité ne peut plus être considérée comme secondaire dans les choix stratégiques et financiers des dirigeants d’entreprises. Les faits le montrent au quotidien : les pirates informatiques retirent de leurs activités frauduleuses des bénéfices colossaux. Selon une étude menée par Atlas VPN, les revenus tirés du cybercrime au niveau mondial auraient atteint les 1 500 milliards de dollars en 2019.
Cela se traduit pour les entreprises par des pertes gigantesques. La cybercriminalité a provoqué plus de 600 milliards de dollars de pertes pour les organisations en 2018, soit 1% du PIB mondial, selon le CSIS, Centre for Stratégie and International Studies. Ce chiffre était de 445 milliards de dollars en 2014. On le voit, le temps n’est plus à la réflexion, mais à l’action.
Par Jacques Bruno Delaroche, avril 2021